Af Eskil Sørensen, 08/10/20
En ny phishing-kampagne, der foregiver at have insiderviden om USA's præsident Trumps helbred, spreder i virkeligheden bagdøre via et link i en email. Det skriver Bleeping Computer i en artikel.
I artiklen fremgår det, at når en modtager klikker på linket, føres han/hun til et Google Doc. Heri hedder det, at Google har scannet filen, og at den er sikker. Derefter beder den modtageren om at downloade dokumentet. Klikker man på downloadlinket, downloades i stedet for et Word-dokument en BazarLoader-eksekverbar fil i stedet. BazarLoader menes at være skabt af gruppen bag TrickBot.
Ransomwarespredning
Når BazarLoader er installeret, giver den trusselsaktørerne mulighed for at få fjernadgang til ofrets computer og bruge den til at kompromittere resten af netværket. Dette fører i sidste ende til implementeringen af Ryuk Ransomware på et offers netværk, hvilket gør bruddet på en enkelt computer til et angreb på hele virksomheden.
Ifølge Bleeping Computer er BazarLoader ikke den eneste malware, der udnytter valget i 2020. I sidste uge fandt ProofPoint også e-mails, der foregav at være fra Democratic National Convention (DNC), der inficerede modtagere med Emotet-trojaneren.
Nyhedskick
Det er forskere ved cybersikkerhedsfirmaet ProofPoint, der har set kampagnen. Den bruger verdens opmærksomhed og hungren efter nyheder som lokkemiddel, på samme måde som det blev set i foråret med de første coronatilfælde, Black Lives Matter-bevægelsen, udbetaling af hjælpepakker osv.
I dette tilfælde er lokkemidlerne emails med emner som
- Recent materials pertaining to the president’s illness
- Newest information about the president’s condition
- Newest info pertaining to President’s illness
Phishingkampagner med udgangspunkt i aktuelle begivenheder sker også i Danmark. Senest har Politiet været på forkant og advaret imod forsøg på svindel i forbindelse med udbetaling af feriepengene.